作者:金茂律师事务所 万波 律师 徐冰清 律师 王书玥 律师助理 吕卓然 实习生
摘要:金茂律师事务所合规团队致力于网络安全与数据合规领域研究,帮助企业实施网络安全与数据合规领域的风险识别、解决方案及防控体系建设。我们团队持续关注网络安全与数据合规国内外法律法规和最新案例并进行分享。
目录
一、立法动态
1. 市场监管总局就《关于修改〈中华人民共和国电子商务法〉的决定(征求意见稿)》公开征求意见
2. 交通运输部印发通知加快推进网约车合规化
3. 北京银保监局印发《北京保险机构销售人员处罚信息登记管理办法》
4. 文化和旅游部关于印发《网络表演经纪机构管理办法》的通知
5. 全国首次提出数据资产“入表” 深圳鼓励关键核心数字技术攻关
6. 国家工业信息安全发展研究中心发布《我国数据开放共享报告(2021)》
7. 上海市发布27项政策促进数字化转型,探索国企数据资产化、公共数据授权运营机制
8. 上海将筹建数据交易所,推动数据综合立法
9. 意大利数据保护机构批准在紧急情况下使用随身摄像机
10. 沙特阿拉伯批准个人数据保护法
11. 斯里兰卡ICTA发布数据保护法最终草案
12. 国际ISO发布汽车网络安全标准
二、执法动态
1. 工信部要求阿里、腾讯、字节跳动等各平台限期内解除网址链接屏蔽
2. 五部门联合约谈11家网约车平台公司
3. 非法收集使用消费者个人信息 重庆新东方被罚款34万元
4. 中消协支持重庆市消费者权益保护委员会提起个人信息保护公益诉讼
5. 美国证券交易委员会对 App Annie 处以 1000 万美元罚款
6.爱尔兰数据保护委员会对 TikTok 涉嫌违反数据保护条例进行调查
7. 四部门对美团、饿了么等10平台开展联合行政指导
8. 中央宣传部、国家新闻出版署有关负责人约谈腾讯、网易等游戏企业和平台
9. 2021年8月全国受理网络违法和不良信息举报1947.3万件
三、司法审判
1、梁某某等人侵犯公民个人信息刑事附带民事公益诉讼案
四、新闻事件
1. 湖南“人脸识别第一案”已被法院受理
2. 央行科技司:做好个人金融信息保护,增强金融领域数据应用的安全性与合规性
3. GetHealth数据库泄露 6100 万条用户数据
4.“苹果税”遭重击!App Store被法官判决强制放开第三方支付
5. 英国ICO:呼吁G7联合改变cookie弹窗保护隐私
6. 欧盟/欧盟委员会AG认为根据GDPR汽车底盘号码是个人数据
立法动态
1. 市场监管总局就《关于修改〈中华人民共和国电子商务法〉的决定(征求意见稿)》公开征求意见
征求意见稿拟加大对电商平台纵容知识产权侵权行为的处罚力度,对第四十三条、第八十四条作出了修改,将电商平台反通知等待期延长5个工作日,赋予了平台内经营者通过担保要求电商平台暂时中止措施的权利,新增了对于提交虚假不存在侵权行为声明的平台内经营者可要求加倍承担赔偿责任的条款,针对电商平台未依法对平台内经营者采取措施情节特别严重的情形,新增了限制开展相关网络经营活动和吊销网络经营相关许可证两项处罚方式。
(来源:“新经报”微信公众号)
2. 交通运输部印发通知加快推进网约车合规化
日前,交通运输部印发《关于维护公平竞争市场秩序加快推进网约车合规化的通知》,进一步维护公平竞争市场秩序,加快推进网约车合规化进程,促进网约车行业规范健康持续发展。《通知》要求,各地交通运输主管部门要督促网约车平台公司依法依规开展经营,加快网约车合规化进程。即日起,不得新接入不合规车辆和驾驶员,并加快清退不合规的驾驶员和车辆。要加强监管执法,严格规范执法行为,综合运用线上线下等各种手段,加大对网约车非法营运的打击力度,持续保持高压态势。对仍新接入不合规车辆和驾驶员的网约车平台公司,要依法依规查处,并将有关情况报至交通运输部。
(来源:“新经报”微信公众号)
3. 北京银保监局印发《北京保险机构销售人员处罚信息登记管理办法》
北京银保监局印发了《北京保险机构销售人员处罚信息登记管理办法》,建立了保险机构销售人员“灰名单”制度,规范了保险机构销售人员处罚信息的登记、使用及管理行为。《办法》在第三章“信息使用”部分明确要求保险机构应事先告知销售人员处罚信息登记使用范围,并征得其同意。
(来源:“新经报”微信公众号)
4. 文化和旅游部关于印发《网络表演经纪机构管理办法》的通知
为加强网络文化市场管理,规范网络表演秩序,坚持正确的价值导向,治理娱乐圈乱象,文化和旅游部制定了《网络表演经纪机构管理办法》。网络表演经纪机构不得为未满十六周岁的未成年人提供网络表演经纪服务。《办法》共十八条,自发布之日起施行。
(来源:“中国信息安全”微信公众号)
5. 全国首次提出数据资产“入表” 深圳鼓励关键核心数字技术攻关
近日,深圳市七届人大常委会第三次会议首次审议了《深圳经济特区数字经济产业促进条例(草案)》,拟通过立法在该产业领域先行先试。针对“数据资源要素利用低效”问题,草案在全国首次提出探索建立数据生产要素会计核算制度,明确核算范围、核算分类、初始计量、后续计量、资产处置等账务处理及报表列示事项,准确、全面反应数据生产要素的资产价值,推动数据生产要素资本化核算。
(来源:“工信微报”微信公众号)
6. 国家工业信息安全发展研究中心发布《我国数据开放共享报告(2021)》
2021年9月5日,2021中国国际数字经济博览会期间,工信部部属高校成果发布暨对接活动在河北省石家庄(正定)举办。国家工业信息安全发展研究中心信息政策所副所长高晓雨在会上发布《我国数据开放共享报告2021》,从对数据开放共享的基本认识、国外数据开放共享的典型政策、我国数据开放共享的基本情况、数据开放共享面临的问题挑战、加快数据开放共享的对策建议五个方面做了详细解读。
(来源:国家工业信息安全发展研究中心官网)
7. 上海市发布27项政策促进数字化转型,探索国企数据资产化、公共数据授权运营机制
2021年9月1日,《上海市促进城市数字化转型的若干政策措施》正式生效,提出全面激发经济数字化创新活力、全面提升生活数字化服务能力、全面提高治理数字化管理效能、数字化转型建设多元化参与、系统全面的数字化转型保障等五个方面共27项政策制度和保障措施。并提出在建立数字化转型建设多元化参与的新机制方面,要探索公共数据授权运营制度,要探索建立国有企事业单位数据产品进场交易机制。在重点领域探索数据资产化的实施路径,并在部分企业试点。
(来源:“中国信息安全”微信公众号)
8. 上海将筹建数据交易所,推动数据综合立法
2021年9月9日,上海市政府举办新闻发布会,除了介绍《上海市先进制造业发展“十四五”规划》有关情况外,还对筹建数据交易所、推动数据综合立法、促进新能源汽车发展、培育“专精特新”企业等方面透露出更多信息。明确以强化高端产业引领功能、加快产业数字化转型、全力打响“上海制造”品牌为主线,到2025年,产业基础能力和自主创新能力显著增强,高端产业重点领域从国际“跟跑”向“并跑”“领跑”迈进,协同长三角建设世界级产业集群。
(来源:“新经报”微信公众号)
9. 意大利数据保护机构批准在紧急情况下使用随身摄像机
意大利的数据保护机构Garante批准了内政部、公共安全部和宪兵总司令部在紧急情况下使用随身摄像机,例如事件或示威,但同时要求在六个月后删除这些数据。
(来源:“中国信息安全”微信公众号)
10. 沙特阿拉伯批准个人数据保护法
据报道,沙特阿拉伯部长理事会批准了《个人数据保护法》,该法将于 2022 年 3 月 13 日生效。沙特阿拉伯数据和人工智能管理局主席阿卜杜拉·本·沙拉夫·阿尔加姆迪在一份声明中表示,该法律将加速沙特阿拉伯的数字化进程,并促进建设信息化社会。
(来源:出海数据网)
11. 斯里兰卡ICTA发布数据保护法最终草案
斯里兰卡信息和通信技术局('ICTA')于2021年9月5日发布了《个人数据处理监管法》的另一个最终草案,这是继2020年3月发布的版本之后的新版本,现已提交给内阁。ICTA强调,该立法旨在平衡依赖个人数据处理的企业的利益和个人数据被处理的个人利益,以确保透明度,以及处理活动的问责制。
此外,ICTA指出,这项立法对那些作为数据控制者和处理者的人规定了一些义务,并且根据这项新的立法,赋予数据主体一整套新的法定权利。ICTA补充说,已经引入了一些规定,使数据保护局能够对不遵守新立法规定的实体发出指令,并且只对那些不遵守上述指令的实体进行行政处罚。ICTA还澄清说,关于处罚的规定是有门槛的,而不是根据控制者的全球营业额计算的罚款。
(来源:21世纪经济报道)
12. 国际ISO发布汽车网络安全标准
国际标准组织("ISO")于2021年8月31日发布了一项新标准,即ISO/SAE 21434《道路车辆--网络安全工程》,旨在解决道路车辆内电气和电子系统工程中的网络安全问题。特别是,ISO概述了新标准将有助于使制造商了解不断变化的技术和网络攻击方法,还定义了与网络安全工程有关的词汇、目标、要求和准则,以便在整个供应链中形成共识。
(来源:安全内参网)
执法动态
1. 工信部要求阿里、腾讯、字节跳动等各平台限期内解除网址链接屏蔽
2021年9月9日,工信部有关业务部门召开了“屏蔽网址连接问题行政指导会”。会上,工信部提出有关即时通信软件的合规标准,要求各平台必须按照标准解除屏蔽,否则将依法采取处置措施。当天参会的企业包括阿里巴巴、腾讯、字节跳动、百度、华为、小米、陌陌、360、网易等。会后,腾讯对此表示回应称将“在以安全为底线的前提下,分阶段分步骤地实施。”
(来源:新华社)
2. 五部门联合约谈11家网约车平台公司
2021年9月1日,交通运输部会同中央网信办、工信部、公安部、国家市场监管总局等交通运输新业态协同监管部际联席会议成员单位,对T3出行、美团出行、曹操出行、高德、滴滴出行、首汽约车、嘀嗒出行、享道出行、如祺出行、阳光出行、万顺叫车等11家网约车平台公司进行联合约谈。约谈要求,一是坚守依法合规经营底线;二是维护公平竞争市场秩序;三是保障司乘人员合法权益;四是落实安全稳定主体责任;五是保障用户信息和数据安全。
(来源:新华社)
3. 非法收集使用消费者个人信息 重庆新东方被罚款34万元
重庆新东方教育培训学校有限公司渝北区分公司日前便因违法收集、使用消费者个人信息行为,被重庆市市场监督管理局处以34万元的罚款。据重庆市市场监督管理局2021年8月29日发布的(2021)75号行政处罚决定书披露,重庆新东方教育培训学校有限公司渝北区分公司未经消费者同意,非法收集、使用1053条消费者个人信息,其行为涉嫌违反了《中华人民共和国消费者权益保护法》相关规定,构成侵害消费者个人信息依法得到保护的权利的违法行为。
(来源:重庆市市场监督管理局官网)
4. 中消协支持重庆市消费者权益保护委员会提起个人信息保护公益诉讼
今年5月,重庆市第一中级人民法院受理了重庆市消费者权益保护委员会就重庆扬啟企业营销策划有限公司非法泄漏万名消费者个人信息提起消费民事公益诉讼一案。9月2日,重庆市第一中级人民法院开庭审理了此案。该案系扬啟公司通过其经营的微信公众号发布文章非法泄露了众多消费者个人信息,严重损害社会公共利益。中消协对重庆市消委会的行动表示支持。该案是重庆市首例消费民事公益诉讼案件。同时,本案以消费公益宣传活动补偿损失的诉求在消费民事公益诉讼领域也具有显著创新性。
(来源:中消协官网)
5. 美国证券交易委员会对 App Annie 处以 1000 万美元罚款
据《华尔街日报》报道,美国证券交易委员会(“SEC”)与移动应用分析公司 App Annie 就数据实践披露不足的指控达成了 1000 万美元的和解协议。这是针对投资者通过用户的替代数据做出交易决策的第一次执法行动。App Annie 提供的数据包括消费者的交易、社交媒体活动和互联网搜索历史。此外,App Annie 联合创始人兼前首席执行官 Bertrand Schmitt 因涉嫌渎职而被罚款 300000 美元。
(来源:IAPP)
6.爱尔兰数据保护委员会对 TikTok 涉嫌违反数据保护条例进行调查
爱尔兰数据保护委员会(DPC)宣布对 TikTok 涉嫌违反欧盟通用数据保护条例进行调查。DPC 将检查潜在违反 GDPR 数据保护设计和未成年人数据的默认要求,同时调查对非法数据传输到中国的控诉。
(来源:IAPP)
7. 四部门对美团、饿了么等10平台开展联合行政指导
9月10日上午,人力资源社会保障部会同交通运输部、市场监管总局、全国总工会召开平台企业行政指导会,就维护新就业形态劳动者劳动保障权益对美团、饿了么、滴滴、达达、闪送、货拉拉、满帮、到家集团、阿里巴巴、腾讯等10家头部平台企业开展联合行政指导。会议指出,要健全保障劳动者权益的制度机制,充分听取劳动者意见建议,畅通劳动者诉求表达渠道,优化平台算法规则。
(来源:新华社)
8. 中央宣传部、国家新闻出版署有关负责人约谈腾讯、网易等游戏企业和平台
中央宣传部、国家新闻出版署有关负责人会同中央网信办、文化和旅游部等部门,对腾讯、网易等重点网络游戏企业和游戏账号租售平台、游戏直播平台进行约谈。约谈强调,各网络游戏企业和平台要严格落实通知各项要求,不折不扣执行向未成年人提供网络游戏的时段时长限制,不得以任何形式向未成年人提供网络游戏账号租售交易服务。要严格管理游戏宣传推广,规范限制明星代言游戏广告,不得为违规游戏提供推广途径。要加强游戏直播管理,禁止出现高额打赏、未成年人打赏等情况。
(来源:新华社)
9. 2021年8月全国受理网络违法和不良信息举报1947.3万件
2021年8月,全国各级网络举报部门受理举报1947.3万件,环比增长15.5%、同比增长57.3%。其中,中央网信办(国家互联网信息办公室)违法和不良信息举报中心受理举报36.9万件,环比增长17.4%、同比增长55.5%;各地网信办举报部门受理举报99.3万件,环比下降12.3%、同比下降29.7%;全国主要网站受理举报1811.1万件,环比增长17.5%、同比增长68.8%。在全国主要网站受理的举报中,微博、百度、阿里巴巴、腾讯、快手、豆瓣、今日头条、知乎、新浪网、搜狗、哔哩哔哩动画、拼多多、京东、优酷等主要商业网站受理量占73.8%,达1337.2万件。
(来源:“经济犯罪治理”微信公众号)
司法审判
梁某某等人侵犯公民个人信息刑事附带民事公益诉讼案
要旨:针对在互联网上非法获取、出售公民个人信息,损害社会公共利益的行为,检察机关依法追究违法行为人刑事责任的同时,依法提起刑事附带民事公益诉讼,要求其赔偿损失并公开赔礼道歉。
基本案情:2019年4月至2020年6月期间,梁某某在网上购买2000多套公民身份证和营业执照材料,非法出售给王某某、刘某某等人,非法获利56035元。2020年5月,王某某、刘某某经蒋某某介绍,在网上出售大量公民身份证照片和营业执照照片,其中王某某、刘某某共获利10000元,蒋某某获利10000元。
调查和督促履职:云浮市新兴县人民检察院(以下简称新兴县院)在审查梁某某等4人侵犯公民个人信息罪案件时,发现梁某某等4人的行为可能损害社会公共利益。2020年9月14日,新兴县院对梁某某等4人以侵犯公民个人信息附带民事公益诉讼立案。为及时收集公益诉讼证据材料,新兴县院在办理该案时提前介入、引导侦查,及时固定梁某某等4人非法获取、出售公民个人信息和非法获利情况的供述、相关书证以及电子数据等证据,查清梁某某等4人侵害众多不特定个人信息安全的事实。
新兴县院经公告,没有法律规定的机关和有关组织提起诉讼。2020年11月20日,新兴县院向新兴县人民法院提起刑事附带民事公益诉讼,请求依法判令刑事附带民事公益诉讼被告人梁某某等4人按照获利金额赔偿损失共计人民币76035元;在省级以上电视台或全国发行的报纸公开赔礼道歉。
2020年12月17日,新兴县人民法院公开开庭审理本案。庭审中,公益诉讼起诉人出示、宣读本案被告人供述、证人证言、鉴定意见及电子数据等证据,证明梁某某等4人非法出售大量公民个人信息的行为,侵害公民合法权益,损害了社会公共利益。新兴县人民法院于2020年12月31日判决梁某某等4名被告人犯侵犯公民个人信息罪,均判处有期徒刑并处罚金的同时,全部支持了新兴县院提出的附带民事公益诉讼请求。4名被告人均无提出上诉,本案判决现已生效并移交执行。
典型意义:通过互联网非法获取、出售公民个人信息,导致众多不特定公民个人信息被泄露,侵害公民个人信息安全,损害社会公共利益。检察机关作为公共利益的代表,可以依法对侵犯公民个人信息的行为人提起刑事附带民事公益诉讼,要求其承担赔偿损失、赔礼道歉等公益损害责任。检察机关提起公益诉讼,解决了公民个人维权难度大、诉讼成本高、举证能力有限等难题,有效弥补了公民个人维权相对困难的不足,切实维护公民个人信息安全。本案检察机关提出的刑事附带民事公益诉讼诉求得到法院的全部支持,对同类案件起到示范和指引作用。
(来源:新兴县人民法院官网)
新闻事件
1. 湖南“人脸识别第一案”已被法院受理
2021年8月26日,原告实习律师林宜烨以被告中欣物业公司在未作出显著提示且未经个人同意的情形下强制收集其个人人脸信息和个人姓名、身份证号码等信息为由,向湖南省长沙市天心区人民法院提起诉讼,请求判令被告彻底删除其于2021年8月24日办理人脸识别验证之后使用人脸验证开门的全部个人信息,并判令被告提供其他非生物识别信息验证方式。目前,长沙市天心区人民法院已受理此案。
(来源:21世纪报道)
2. 央行科技司:做好个人金融信息保护,增强金融领域数据应用的安全性与合规性
在北京首钢园召开的2021中国国际金融科技论坛指出,要加快制定金融领域科技伦理标准规则、行动指南和自律公约,建立伦理审查、信息披露等常态化的工作机制,将伦理道德作为衡量金融科技人才的重要尺度,在技术上,既要利用加密存储、去标识化、身份认证等“老办法”严防数据泄露、篡改和不当使用,更要应用多方安全计算、联邦学习、联盟链等“新方法”实现数据可用不可见、数据不动价值动,构筑支撑跨机构、跨市场、跨领域数据安全共享的科技方舟。
(来源:“隐私护卫队”微信公众号)
3. GetHealth数据库泄露 6100 万条用户数据
据 ZDNet报道,一个包含超过 6100 万条属于可穿戴技术和健身公司 GetHealth 的记录的不安全数据库在网上曝光。研究人员表示,数据来源包括 Fitbit 和 Apple 的 HealthKit,但用户名、出生日期和 GPS 日志则属于公开信息。
(来源:“隐私护卫队”微信公众号)
4.“苹果税”遭重击!App Store被法官判决强制放开第三方支付
开放第三方支付渠道,是应用开发商免遭“苹果税”之苦的第一步。在美国、日本、韩国等多个国家的反垄断监管压力之下,苹果即将被迫迈出这一步。当地时间9月10日,美国加州地区法院法官伊冯娜·冈萨雷斯·罗杰斯 (Yvonne Gonzalez Rogers) 作出一项禁令:要求苹果不能禁止应用开发商在应用内提供链接引导用户使用非应用内购的第三方支付渠道。这项禁令将于12月份生效。这意味着,30%的“苹果税”——App Store营收的“护城河”已经悄然被阻断。
(来源:“数据法盟”公众号)
5. 英国ICO:呼吁G7联合改变cookie弹窗保护隐私
近日,英国信息专员办公室(Information Commissioner’s Office ,ICO)呼吁G7(七国集团)联合反对现有的cookie弹窗方式,建立一个允许用户设置长久隐私偏好的机制。当地时间9月7日,英国信息专员办公室在其官网发布声明称,为了更好地保护用户隐私,也为了企业能给用户提供更好的浏览体验,呼吁G7的个人数据保护监管机构共同努力彻底改革cookie弹窗方式。
(来源:“数据法盟”公众号)
6. 欧盟/欧盟委员会AG认为根据GDPR汽车底盘号码是个人数据
欧盟法院('CJEU')总检察长Michal Bobek于2021年9月2日发布了C 175/20 SIA 'SS' v. Valsts ieņēmumu dienests案件的意见,此前拉脱维亚地区法院曾要求作出初步裁决。特别是,本案涉及申请人拒绝税务稽查局提交的信息请求,包括与申请人网站上发布的广告中的车辆底盘号码有关的信息,理由是信息请求的范围,据申请人称,构成GDPR第4(1)条意义上的个人数据,在法律上没有正当理由。在对上述案件发表的意见中,检察长Bobek同意申请人的意见,即汽车底盘号码应被视为GDPR意义上的与被识别或可识别的人有关的信息,即个人数据。
(来源:“数据法盟”公众号)